Подробности за ExplodingCan, още един от инструментите на АНС

0
61

Компанията за информационна сигурност Secarma и SCMagazine дадоха подробности за още един от инструментите на Агенцията за национална сигурност на САЩ (АНС). Става дума за ExplodingCan. Това е четвъртата програма, появяваща се в обектива на специалистите от богатия арсенал на АНС, който Shadow Brokers публикува тази пролет. Досега подробна информация получихме за DARKPULSAR и EternalBlue, спомогнали за разпространението на WannaCry и две други зловредни програми в голям мащаб, както и за EsteemAudit.

ExplodingCan засяга Microsoft Windows 2003 сървъри с инсталирана версия на Information Services 6.0. Проблемът засяга системите с включено разширението WebDAV (distributed authoring and versioning), спомагащо за създаването и управлението на отдалечено съдържание. Експлоатирането се осъществява чрез изпращането на дълга заявка към функцията WebDAV PROPFIND, което от своя страна предизвиква препълване на буфера и това може да се използва за изпълнение на код по дистанционен път и извикването на командния шел на машината, която е обект на атака, обясняват от компанията.

Пол Харис от Secarma обяснява, че уязвимостта е сходна с тази, позволила разпространението на Wannacry. Експлойт за нея вече присъства на страниците на ExploitDB и като модул в Metasploit, като Харис свидетелства за осъществени няколко на брой опити за атака с нейна помощ. Не се очаква Microsoft да издаде пач за Windows Server 2003, който да покрие уязвимостта.

Това, което различава тази уязвимост от намерената в SMBv1 е, че сървърите, изпълняващи условията за експлоатирането ѝ са далеч по-малко. Компанията съобщава, че след сканиране са установили, че по цял свят има около 375 000 инсталации на IIS 6.0, но вероятно броят на машините с включен WebDAV е значително по-малък. Според австралийската медия Itnews.com.au, потенциално уязвимите сървъри по света са едва 42 000. Изданието се основава на собствено проучване, проведено посредством Shodan.

Secarma публикува инструмент, с който администриращите сървърни системи могат да проверят, дали машините под тяхно управление са уязвими.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари